Dienstag, 10.11.2009 17:35

Exklusiv: Datenpanne bei der Deutschen Post

aus dem Bereich Sonstiges
Von Hayo Lücke
Wer im Internet einkaufen geht, tut dies in der Regel mit der inneren Sicherheit, dass die für den Einkauf notwendigen, persönlichen Daten nur dort einsehbar sind, wo es zwingend erforderlich ist. Das wird auch auf Nutzer des PostOffice Shop der Deutschen Post zutreffen. In dem für Geschäftskunden errichteten Online-Shop werden Materialien für den Brief- und Paket-Versand sowie für den Bürobedarf angeboten. Durch einen technischen Fehler war es jedoch theoretisch möglich, auf unzählige Rechnungen inklusive Lieferadresse zuzugreifen. Durch einen Hinweis von onlinekosten.de konnte die Datenschutz-Lücke von Programmierern der Post zwischenzeitlich behoben werden.

Anzeige
OrderID beliebig austauschbar

Sichtbar wurden die Bestellungen anderer Post-Kunden durch einfaches Editieren einer Internet-Adresse. Wurden die Daten einer eigenen Bestellung online abgerufen, erschien in der URL automatisch die Bestellnummer als Parameter orderID. Wer diese sechsstellige Ziffernfolge mit vorgestelltem o nach Belieben änderte, konnte sich die Bestell-Belege wildfremder Post-Kunden auf den Bildschirm holen. Nicht einmal eine Anmeldung im Post-Shop war dafür notwendig.


Die OrderID der eigenen Bestellung war beliebig austauschbar. Screenshot: onlinekosten.de

Sichtbar wurden nicht nur detaillierte Auflistungen zu den bestellten Produkten, sondern auch Straße, Hausnummer, Postleitzahl und Stadt der Lieferadresse. Außerdem Angaben zur Zahlungsweise: Rechnung, Lastschrift bzw. Kreditkarte. Firmennamen, Konto- oder Kreditkartendaten wurden hingegen nicht angezeigt.


Diverse Bestell- und Adress-Daten waren ohne Probleme einsehbar. Screenshot: onlinekosten.de

Post reagiert schnell

Durch einen Hinweis von onlinekosten.de am Montag wurde die Deutsche Post umgehend aktiv und setzte die entsprechenden Website-Funktionen außer Betrieb. Noch in der Nacht wurde nach Angaben eines Post-Sprechers damit begonnen, den technischen Fehler zu beheben. Seit Dienstag 11:30 Uhr ist der PostOffice Shop wieder uneingeschränkt nutzbar.

Die Deutsche Post geht aufgrund der Anzahl registrierter Benutzer und den Online-Bestellquoten davon aus, dass es sich "um einige tausend, theoretisch nachvollziehbare Informationen zur Bestellhistorie ohne Kundennamen und Kundennummer" gehandelt habe, die theoretisch hätten ausgelesen werden können. Der Post-Sprecher gab aber zu bedenken: "Die Online-Bestellmöglichkeit ist ein ausschließliches Angebot für Geschäftskunden und Rückschlüsse auf Namen von Personen bzw. eine Personalisierung von Daten waren somit nicht ohne Weiteres gegeben."
Kommentieren (Neuen Kommentar verfassen):
 Erste Betrugsversuche (3 Beiträge) 
    Zuletzt kommentiert von m3d0r am 11.11.2009 um 16:11 Uhr
 Suche

VDSL Verfügbarkeit
VDSL Neukunden profitieren von Startguthaben und kostenloser Hardware wie einem Router oder einem Mediacenter.
Jetzt die Telekom VDSL Verfügbarkeit an ihrem Ort prüfen, nach Vodafone VDSL suchen oder die 1und1 VDSL Verfügbarkeit klären.
VDSL
Auf der Suche nach dem wahren Highspeed Internet mit DSL Flat?
Mit ihrem VDSL - Internetzugang kommt die Telekom-Tochter T-Home auf bis zu 50 Mbit/s.
Fernsehen im Internet gibt's im Entertain-Paket dazu. Auch Fußball in HD-Qualität über LIGA total und Filme per Video on Demand sind kein Problem.
DSL Speedmessung
Trotz Highspeed ADSL Anschluss nur Diashow statt flüssiges Internet Fernsehen?
Unbedingt DSL Geschwindigkeit testen. Wenn der Provider wieder zuviel versprochen hat, gleich neues DSL Angebot einholen.
Bei vielen Anbietern gibt es auch Internet Telefonie dazu. Wir haben die besten DSL Tarife im Vergleich.
© 1999-2012 onlinekosten.de GmbH :: Datenschutz :: Impressum :: Presse :: Jobs